記事 標的型攻撃・ランサムウェア対策 SCSK、標的型攻撃対応の「Protection Expert/標的型攻撃マネージド監視サービス」提供開始 SCSK、標的型攻撃対応の「Protection Expert/標的型攻撃マネージド監視サービス」提供開始 2012/05/10 SCSKは、米FireEye社の標的型攻撃対策ソリューション「FireEye MPS」による、セキュリティ監視サービス「Protection Expert/標的型攻撃マネージド監視サービス」を提供開始した。
記事 セキュリティ総論 アズビル、中小規模建物向け入退室管理システム「savic-ssEZ」発表 アズビル、中小規模建物向け入退室管理システム「savic-ssEZ」発表 2012/04/24 アズビルは、中小規模建物向けの入退室管理システム「savic-ssEZ」を発表した。販売開始は4月25日。
記事 標的型攻撃・ランサムウェア対策 トレンドマイクロ、標的型攻撃に対応のネットワーク監視ソリューション「Deep Discovery」発表 トレンドマイクロ、標的型攻撃に対応のネットワーク監視ソリューション「Deep Discovery」発表 2012/04/24 トレンドマイクロは、ネットワーク監視ソリューション「Deep Discovery」を発表した。受注開始は5月21日。
記事 セキュリティ総論 「本業が忙しくてセキュリティに手がまわらない!」 ――本業と一体化させる勘所とは 「本業が忙しくてセキュリティに手がまわらない!」 ――本業と一体化させる勘所とは 2012/04/24 「本業が忙しくてセキュリティに手がまわらない」、「形骸化してきている」、「モチベーションが上がらない」ということはないだろうか。これからの情報セキュリティはどうなっていくのだろうか。今回は、情報セキュリティマネジメントをビジネスにおいて有効活用する勘所をご紹介したい。
記事 個人情報保護・マイナンバー それは本当に「標的型攻撃」なのか?企業の対策方法を整理する それは本当に「標的型攻撃」なのか?企業の対策方法を整理する 2012/04/20 セキュリティ関連の媒体だけでなく、新聞や週刊誌などでも使われるようになった「標的型攻撃」という言葉だが、厳密には標的型攻撃と呼べない事例に対しても使われていることがある。専門家、被害者、メディア、それぞれの立場で、標的型攻撃について幅のある使い方をするため、現時点では厳密な定義は難しい。しかし対策や防御において重要なのは、言葉ではなく、どんな攻撃なのかという本質にある。
記事 個人情報保護・マイナンバー 【事例:三井住友海上火災保険】機密性の高いテストデータ、マスク方法の標準化と人間系処理の排除を実現 【事例:三井住友海上火災保険】機密性の高いテストデータ、マスク方法の標準化と人間系処理の排除を実現 2012/04/11 MS&ADインシュアランスグループの中核事業会社として、損害保険業などを行う三井住友海上火災保険では、金融・保険に関わるさまざまなシステムを利用している。そこで課題となっていたのが、システムの検証に使用するテストデータであった。本番データをルールに従い適切にマスクして使用していたが、作成方法がシステムごとにバラバラで、かつ人間による手続きが介在していたのである。テストデータの作成方法を標準化し、処理の迅速化とセキュリティの強化を一挙に実現した成功事例に迫る。
記事 セキュリティ総論 JPCERT/CC 早貸淳子常務理事:APT対策になぜ企業内CSIRTの整備が有効なのか JPCERT/CC 早貸淳子常務理事:APT対策になぜ企業内CSIRTの整備が有効なのか 2012/04/05 昨今、特定の目的を持って執拗に攻撃を仕掛けるサイバー攻撃者の動きが目立つようになり、企業のセキュリティ対策で大きな課題になっている。公的機関からのメールを装って侵入を図ったり、侵入後にウイルスを拡散させて目指す情報を物色したり、悪意あるサーバと通信してウイルスを多機能化させるなど、攻撃も多様化しており、決定打がないのが実情だ。このようなやっかいな攻撃に対し、企業では今後どのような対策を講じていけばよいのか、JPCERTコーディネーションセンター(以下、JPCERT/CC)常務理事の早貸淳子氏に話を伺った。
記事 個人情報保護・マイナンバー 米国でクレジットカード情報1000万件が流出?個人情報漏えい件数の読み方 米国でクレジットカード情報1000万件が流出?個人情報漏えい件数の読み方 2012/04/03 3月30日(米国時間)、クレジットカード決済処理大手の米Global Paymentsは不正アクセスにより、クレジットカード情報が流出した可能性があると発表した。セキュリティベンダーであるソフォスによれば、漏えい件数は最大で1000万件に上る可能性があるという。この数字が事実であれば、2005年に発生した4000万件のカード情報が流出した事件に続く大規模な情報漏えい事件となりうる。4月2日時点でようやく日本でも本格的な報道がはじまっているが、問題はその数だ。数千、5万、150万、1000万と非常に大きな開きがある。
記事 セキュリティ総論 北海道発のSIerがパートナー国内No.1に。クラウド型セキュリティに求められる要件とは 北海道発のSIerがパートナー国内No.1に。クラウド型セキュリティに求められる要件とは 2012/03/26 クラウド化の普及とともに、「マネージドセキュリティサービス」という言葉がシステム担当者の間で聞かれるようになった。だが、いざ具体的に何を行うべきかと尋ねられると迷う人が多いのが現状だろう。カスペルスキーの法人向け製品「Open Space Security」をクラウドで提供するSIer、ユーザーサイドは、その販売実績からゴールドパートナー国内No.1を獲得した。同社に、クラウド時代のセキュリティサービスの賢い利用法について話を伺った。
記事 セキュリティ総論 【特集】クラウド時代のセキュリティサービス、その賢い利用法とは 【特集】クラウド時代のセキュリティサービス、その賢い利用法とは 2012/03/26 クラウドの拡がりと共に、ネットワークセキュリティの重要性は急激に増している。従来のオンプレミスのシステムとは異なり、クラウド環境では、ネットワーク停止はビジネスの命取りを意味する。本コンテンツでは、企業がとるべき対策とは何か、どのようなソリューションを利用すればよいのか特集する。
記事 セキュリティ総論 IPAが「2012年版10大脅威」を発表、1位は「標的型攻撃」 IPAが「2012年版10大脅威」を発表、1位は「標的型攻撃」 2012/03/23 IPA(独立行政法人情報処理推進機構)は22日、近年の情報セキュリティを取り巻く脅威を「2012年版10大脅威 変化・増大する脅威!」にまとめ、IPA のWebサイトで公開した。
記事 セキュリティ総論 情報セキュリティ相談センター萩原栄幸氏インタビュー「パスワードもログ取得も意味がない」 情報セキュリティ相談センター萩原栄幸氏インタビュー「パスワードもログ取得も意味がない」 2012/03/14 顧客リストの漏えいやなりすましによる不正アクセスといった、情報セキュリティに関する不祥事が続く中で、企業は防衛策に必死だ。だが実務にも通じたセキュリティ研究家である萩原栄幸氏は、「IDもログもアクセスも、とかく認証の部分だけを押さえれば安全という風潮が見られる。しかし根本はあくまで『企業の情報をいかに守るか』であり、その大きな視点から『どこをどれだけ固めるのか』という各論に入っていくことが、実効のある対策につながっていく」と強調する。
記事 セキュリティ総論 【特集】人手が足りない中小企業のセキュリティ課題解決策 【特集】人手が足りない中小企業のセキュリティ課題解決策 2012/03/08 取引先や関係企業に一定のセキュリティ要件を課す企業や官庁が増えている中、中小企業にとってもセキュリティ対策は重要性を増している。しかし、「何を買って、どう設定すればいいのかわからない」「もし機器に問題が発生しても解決できない」といった理由から、導入を躊躇したり、市販ソフトなどで対応している企業もあるはずだ。そこで本特集では、こうした中小企業ならではのセキュリティニーズを満たすソリューションについて探っていこう。
記事 個人情報保護・マイナンバー 【民主党藤末氏コラム】グーグルのプライバシーポリシー変更─政府は国民のプライバシーを守れー 【民主党藤末氏コラム】グーグルのプライバシーポリシー変更─政府は国民のプライバシーを守れー 2012/03/08 3月1日、インターネット検索世界最大手のグーグル社が行った、プライバシーポリシー(個人情報管理の方法)の変更が世界中に波紋を広げている。私は、昔からグーグルのイノベーション力に注目しているが、新しい事業を開拓・創造するがゆえに、社会が想定していない問題が生じることは自然なことである一方、そうした問題にうまく対処できるように既存の法制度を変えていくことも必要になることがある。
記事 セキュリティ総論 制御システムのセキュリティとスマホの通信障害に共通する“古くて新しい”課題 制御システムのセキュリティとスマホの通信障害に共通する“古くて新しい”課題 2012/03/06 プラントなどで用いられる制御システムの脆弱性が問題となっている。また、昨年から携帯電話キャリアの通信障害が頻発している。セキュリティ業界で注目を集めているこの2つの問題は一見、まったく関係がないように見えるが、実はどちらもまったく同じ“古くて新しい課題”でつながっている。
記事 セキュリティ総論 【特集】サイバー攻撃対策と、事業継続を意識した分散型インターネットセキュリティモデル 【特集】サイバー攻撃対策と、事業継続を意識した分散型インターネットセキュリティモデル 2012/03/05
記事 セキュリティ総論 制御システムのセキュリティについて3つの注意喚起、IPA 制御システムのセキュリティについて3つの注意喚起、IPA 2012/02/29 IPA(独立行政法人情報処理推進機構)は29日、複数の制御機器の脆弱性情報の公表を受け、制御システム運用者に注意を呼びかけた。
記事 セキュリティ総論 制御システムセキュリティ:アフターStuxnet、日本のプラントは安全か?--経産省 江口純一氏 制御システムセキュリティ:アフターStuxnet、日本のプラントは安全か?--経産省 江口純一氏 2012/02/24 2010年、イランのウラン濃縮工場の制御システムがStuxnet(スタックスネット)によってサイバー攻撃を受けたというニュースは、世界中に大きなインパクトを与えた。あれから1年以上が経過した現在、日本政府や関連業界はどのようにこの問題に向き合っているのだろうか。2012年2月3日に開催された「制御システムセキュリティカンファレンス 2012」では、「~ After Stuxnet ~セキュアな制御システムが日本の未来を守る」と題し、経済産業省 商務情報政策局 情報セキュリティ政策室長 江口 純一氏が制御システムセキュリティの動向について語った。
記事 災害対策(DR)・事業継続(BCP) 【特集】事業継続・災害対策、今のままで本当に大丈夫ですか? 【特集】事業継続・災害対策、今のままで本当に大丈夫ですか? 2012/02/20 東日本大震災や深刻な台風被害などに見舞われた我が国では、事業継続・災害対策への取り組みを今一度見つめ直す必要に迫られている。十分な対策をとってこなかった企業だけでなく、現状の対策では効果的でないことを初めて認識した企業も多いだろう。本特集では、遠隔データバックアップ、データセンター、情報配信、情報漏洩対策などの各種ソリューションについて、事例を交えながら紹介する。
記事 セキュリティ総論 NEC、クラウド環境での安心・安全なデータ保存に貢献する秘密分散技術を開発 NEC、クラウド環境での安心・安全なデータ保存に貢献する秘密分散技術を開発 2012/02/16 NECは16日、重要な情報を分散して保存し機密性を確保する秘密分散技術において、クラウドのようなオープンな環境下でも、安全に情報を保存できる技術を開発したと発表した。
記事 セキュリティ総論 伊東寛氏インタビュー(後編):一般人が自ら戦争に参加する時代、企業として取るべき対策とは 伊東寛氏インタビュー(後編):一般人が自ら戦争に参加する時代、企業として取るべき対策とは 2012/02/10 前編では、現在のサイバー戦争において、日本の企業が置かれている危機的状況について、ラック 執行役員 サイバーセキュリティ研究所所長で、陸上自衛隊システム防護隊 初代隊長の伊東寛氏に語ってもらった。後編では、歴史を振り返って今後の脅威について見通しを語っていただくとともに、それに対して今企業が取り組むべき対策について語ってもらった。
記事 ソーシャルメディア ソーシャルメディアにおけるなりすましアカウントへの対処法 ソーシャルメディアにおけるなりすましアカウントへの対処法 2012/02/08 受験シーズンのまっただ中、ツイッター上で京都大学や立命館大、関西大、明治大などの大学のなりすましアカウントが発見された。大学側が関知していない勝手アカウントながら、試験に関する書き込みがなされていたり、正式なアカウントと誤解しているユーザーが多数購読しているとして問題となっている。メールやブログが普及し始めたときにも企業や著名人の偽アカウントが問題になったが、もし自社の把握していないなりすましアカウントを発見したらどのように対処すればよいのだろうか。
記事 セキュリティ総論 伊東寛氏インタビュー(前編):すでに日本はサイバー戦争に参戦。このままいけば敗北必至 伊東寛氏インタビュー(前編):すでに日本はサイバー戦争に参戦。このままいけば敗北必至 2012/02/06 昨年、米オバマ大統領が宣言したように、サイバーセキュリティの脅威は今や“戦争”と位置付けられている。望むと望まないに関わらず、あらゆる人や企業は、すでに国家レベルの大きな戦いに巻き込まれてしまっているわけだ。「このまま自覚なく時を過ごせば取り返しのつかない敗北を喫することになる」と警鐘を鳴らすのは、ラック 執行役員 サイバーセキュリティ研究所所長で、陸上自衛隊システム防護隊 初代隊長の伊東寛氏だ。今、世界のサイバー攻撃はどれほど危険なのか。また、それに対して国や企業にできることは何なのか。話を伺った。
記事 ID・アクセス管理・認証 オンライン不正詐欺の検知に役立つ、リスクベース認証とは? オンライン不正詐欺の検知に役立つ、リスクベース認証とは? 2012/01/31 リスクベース認証とは、振る舞い認証などとも呼ばれる詐欺検知の技術である。接続IPアドレス、場所、操作コマンドを分析することで正規のアクセスなのか不正アクセスなのかを検知する手法だ。パスワードやカードによる認証の欠点を補い、サービスの利便性を損なわずにセキュリティ強度を挙げる手法として注目されているが、頻発するオンラインでの不正アクセスに対して、どれほど有効なのだろうか。シグマクシスの笠松隆幸氏と、日本ベリサインの小林伸二氏の講演をレポートする。
記事 セキュリティ総論 政府の情報セキュリティ政策会議、全省庁にCSIRTの設置を要請 政府の情報セキュリティ政策会議、全省庁にCSIRTの設置を要請 2012/01/25 内閣官房情報セキュリティセンター(NISC)主導で行われている「情報セキュリティ政策会議」は24日、各府省庁にCSIRT(情報セキュリティに即座に対応する組織)の保有を求めるとともに、国の情報セキュリティ全般を監視する最高情報セキュリティ責任者(CISO)を設置すると発表した。
記事 ID・アクセス管理・認証 狙われるオンラインバンキング、“詐欺検知”の有効性は? 狙われるオンラインバンキング、“詐欺検知”の有効性は? 2012/01/25 個人情報漏えいやパスワードの不正取得/使用といったセキュリティ問題は跡を絶たない。特にフィッシング詐欺による被害は、当人が正しいサイトだと思ってパスワードなどを入力してしまうため、技術的な対策にも限界がある。もっと効果的なユーザー認証の方法はないのだろうか。そこで注目されているのが「詐欺検知」という考え方だ。野村総合研究所 石井晋也氏による講演から、その有効性を探る。
記事 個人情報保護・マイナンバー アノニマスとハクティヴィズム――企業が直面する新しいネット社会:塚越健司氏論考 アノニマスとハクティヴィズム――企業が直面する新しいネット社会:塚越健司氏論考 2012/01/24 近年、企業や政府などに対するサイバー犯罪が跡を絶たない。衆議院やソニーで被害が出た件などは大きく報道された。増加するこれらの事件や犯罪の背景にはどのような潮流があるのだろうか? ウィキリークスなどネットの新しい動向に詳しい塚越健司氏に論じていただいた。
記事 ガバナンス・内部統制・不正対策 急増する企業内部の不正事件、内部犯行に至る“3つの要因”とは? 急増する企業内部の不正事件、内部犯行に至る“3つの要因”とは? 2012/01/23 従業員や派遣社員など組織や企業の内部スタッフによって引き起こされる情報漏えいや不正行為は、日本の企業風土においてなかなか表にでてこないものだ。マスコミなどで報道される事件はむしろ氷山の一角とみたほうがよい。そのすべてが重大犯罪や大きな被害をもたらすものではないが、金融機関においてはほとんどが金銭的な損失に直結している。内部犯行や不正行為の実態と、それに至るメカニズムはどうなっているのだろうか。情報セキュリティ相談センター 事務局長 萩原栄幸氏の講演をレポートする。
記事 セキュリティ総論 トレンドマイクロ、自社のセキュリティ対策を診断可能な「セキュリティアセスメントツール」公開 トレンドマイクロ、自社のセキュリティ対策を診断可能な「セキュリティアセスメントツール」公開 2012/01/20 トレンドマイクロは、企業のセキュリティ対策を25の設問で無料診断する「セキュリティアセスメントツール」を公開した。
記事 セキュリティ総論 ラック 西本逸郎氏ら:新たな標的型攻撃はキメラ型、2012年のセキュリティ動向 ラック 西本逸郎氏ら:新たな標的型攻撃はキメラ型、2012年のセキュリティ動向 2012/01/16 2011年に最も印象に残った情報セキュリティ事件と聞かれて、ソニーを始めとする大手企業への標的型攻撃と答える人は少なくないだろう。2012年もこの傾向は継続するのだろうか。今そこにある危機の全貌と攻撃の進化の行方を知ることは、企業にとって最大の防御となる。ラックの西本逸郎氏、同コンピュータセキュリティ研究所の岩井博樹氏、同サイバーセキュリティ研究所の新井悠氏らセキュリティの最前線に立つ識者3名が2012年のセキュリティ予測を語った。